Ein erfolgreicher Cyber-Angriff ist fast nie ein einzelner Klick — er ist eine Abfolge von Schritten, die der Angreifer alle erfolgreich gehen muss. Genau das ist die gute Nachricht: an jedem dieser Schritte kann die Verteidigung den Angriff stoppen oder zumindest verlangsamen und sichtbar machen. Dieser Artikel stellt die zwei verbreiteten Modelle vor (Lockheeds Cyber Kill Chain und MITRE ATT&CK), zeigt eine konkrete Angriffsketten-Beispielrechnung und übersetzt das Modell in Defender's-Advantage-Praxis.
Das Grundprinzip: Defender's Advantage
Die zentrale Beobachtung kommt von Lockheed Martin (2011): ein Angreifer muss in einer langen Kette alle Glieder schaffen — der Verteidiger braucht nur eines davon zu unterbrechen. Solange der Angreifer noch keinen Persistenz-Mechanismus etabliert hat, kostet eine Entdeckung ihn die ganze Vorarbeit. Diese Asymmetrie heißt Defender's Advantage.
Die praktische Konsequenz: Verteidigung darf nicht nur an einem Punkt ansetzen („wir haben eine Firewall"), sondern muss über alle Phasen verteilt sein — Detection an Stelle X, Prevention an Stelle Y, Response an Stelle Z. Defense-in-Depth (siehe risiko-und-defense-in-depth) ist die strategische Konsequenz aus der Kill-Chain-Beobachtung.
Die Lockheed Cyber Kill Chain
Lockheed Martin definierte 2011 sieben aufeinanderfolgende Phasen — gedacht ursprünglich für gezielte Angriffe auf Unternehmen und Behörden, aber das Schema passt auf viele Web-Vorfälle.
| # | Phase | Was passiert | Defender's Move |
|---|---|---|---|
| 1 | Reconnaissance | OSINT, Subdomains, Mitarbeiter:innen-Profile sammeln | Externe Angriffsfläche minimieren, Mitarbeiter-Awareness |
| 2 | Weaponization | Exploit + Payload zu Lieferform kombinieren (Office-Doc, ZIP, Link) | Indirekt — schwer beeinflussbar |
| 3 | Delivery | Zustellung via Mail, USB, Website, kompromittierte Dependency | Mail-Filter, Web-Proxy, EDR, Dependency-Scanning |
| 4 | Exploitation | Schwachstelle in Software oder im Nutzer (Phishing) ausnutzen | Patchen, App-Härtung, Awareness-Training |
| 5 | Installation | Persistenz-Mechanismus etablieren (Backdoor, Account, Service) | EDR, Filesystem-Integrity, Service-Monitoring |
| 6 | Command & Control | C2-Kanal zur Steuerung aufbauen | DNS- und Outbound-Egress-Filter, TLS-Inspektion |
| 7 | Actions on Objectives | Eigentliches Ziel: Daten exfiltrieren, verschlüsseln, sabotieren | DLP, Egress-Monitoring, Backups, Incident Response |
Das Modell ist gut für gezielte Angriffe (APT, Spear-Phishing-Kampagnen, Ransomware-Operationen). Für rein opportunistische Massen-Bots ist es überdimensioniert — dort gibt es keine echte Recon-Phase, sondern Massen-Scan und sofortige Exploitation.
Kritisiert wird die Kill Chain heute aus drei Gründen:
- Linearität. Reale Angriffe loopen oft (Eskalation → neue Recon → Lateral Movement → neue Eskalation).
- Perimeter-zentriert. Die Phasen fokussieren auf den Weg ins Netz; Cloud- und Web-Angriffe haben oft keinen klassischen Perimeter mehr.
- Wenige Aktionen-auf-Ziel-Phasen. Die letzte Phase ist eine einzige Stufe — in Wahrheit gibt es Lateral Movement, Discovery, Privilege Escalation als eigenständige Schritte.
Genau diese Lücken adressiert ATT&CK.
MITRE ATT&CK: feinere Granularität
MITRE ATT&CK (attack.mitre.org) ist eine Wissens-Datenbank, die seit 2013 dokumentiert, was Angreifer real tun. Statt sieben großer Phasen kennt das Enterprise-Modell 14 Taktiken (das Warum eines Schritts) und Hunderte Techniken (das Wie). Jede Technik bekommt eine ID — T1566.001 für „Spear-Phishing Attachment", T1078 für „Valid Accounts" — und Querverweise zu beobachteten Gruppen und konkretem Defense-Mapping.
Die 14 Enterprise-Taktiken in chronologischer Reihenfolge:
Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Command and Control → Exfiltration → Impact.
ATT&CK ist kein lineares Modell, sondern ein Graph: ein Angriff bewegt sich zwischen den Taktiken hin und her, bleibt teilweise lange in einer (Discovery + Lateral Movement laufen oft parallel), und manche Taktiken werden gar nicht durchlaufen (eine schnelle Ransomware-Operation überspringt Lateral Movement).
Verwendet wird das Framework vor allem von:
- Detection-Teams, die ihre Log-Sichtbarkeit pro Technik bewerten („sehen wir T1003 — OS Credential Dumping — in unseren Logs?")
- Red Teams und Pentests, die ihre Berichte gegen ATT&CK-IDs mappen, damit Verteidiger:innen sie systematisch nachstellen können
- Threat-Intelligence-Reports, die Angreifer-Aktivität in einer gemeinsamen Sprache beschreiben
Es gibt drei spezialisierte Matrix-Versionen: Enterprise, Mobile, ICS (Industrial Control Systems). Für Web-Anwendungen sind die relevantesten Sub-Matrizen die für Cloud und Containers.
Beispielrechnung: ein realistischer Angriff Schritt für Schritt
Zur Anschauung: eine plausible Angriffskette gegen ein kleines SaaS-Unternehmen, in ATT&CK-Schritten und Kill-Chain-Phasen parallel.
| # | Schritt | ATT&CK-Technik | Kill-Chain-Phase |
|---|---|---|---|
| 1 | LinkedIn-Recon: Plattform-Admin identifizieren | T1593 Search Open Websites | Reconnaissance |
| 2 | Phishing-Domain saas-corp-login.com registrieren, EvilProxy davorhängen | T1583.001 Acquire Infrastructure | Weaponization |
| 3 | Spear-Phishing-Mail an Admin; MFA-Cookie wird im Proxy abgefangen | T1566.001 Spear-Phishing Attachment | Delivery + Exploitation |
| 4 | Login mit gestohlenem Cookie | T1078 Valid Accounts | Exploitation |
| 5 | Admin-Token mit langer Lebensdauer ausstellen | T1098.001 Additional Cloud Credentials | Installation |
| 6 | Discovery der Tenant-Liste über interne API | T1538 Cloud Service Dashboard | (ATT&CK feiner als Kill Chain) |
| 7 | Stille Massen-Daten-Kopie via Export-Endpoint | T1213 Data from Information Repositories | Actions on Objectives |
| 8 | Exfiltration auf eigenen S3-Bucket | T1041 Exfiltration Over C2 Channel | Actions on Objectives |
| 9 | Datenschutz-Erpressungs-Mail an die Geschäftsführung | T1657 Financial Theft | Actions on Objectives / Impact |
Defender's-Advantage-Analyse: Schritt 3 hätte ein FIDO2-Hardware-Key gestoppt (EvilProxy kann WebAuthn-Bindings nicht weiterreichen). Schritt 5 hätte ein Audit-Alert auf Token-Creation gefangen. Schritt 7 hätte ein Rate-Limit auf den Export-Endpoint verlangsamt; Schritt 8 hätte ein Egress-Filter auf unbekannte S3-Buckets sichtbar gemacht. Jeder einzelne dieser Punkte hätte den Schaden in Schritt 9 verhindert.
Diamond Model und andere Ergänzungen
Neben Kill Chain und ATT&CK gibt es zwei weitere Modelle, die im Detection-Engineering häufig auftauchen:
- Diamond Model of Intrusion Analysis (Caltagirone, Pendergast, Betz, 2013). Beschreibt jeden Vorfall als Vier-Ecken-Diamant: Adversary — Capability — Infrastructure — Victim. Nützlich, um aus einem konkreten Indikator (z. B. einer C2-Domain) auf andere Ecken zu schließen.
- Pyramid of Pain (David Bianco, 2013). Hierarchie von Indikatoren nach Aufwand, den ein Angreifer hat, sie zu ändern: Hashes (trivial) — IP-Adressen — Domain-Namen — Netzwerk-Artefakte — Host-Artefakte — Tools — TTPs (Taktiken/Techniken; sehr schwer zu ändern). Defense, die auf TTP-Ebene fokussiert, zwingt Angreifer zu echtem Umlernen, nicht nur zu neuen Indikatoren.
Praktische Konsequenz: Bedrohungs-Intelligence, die einem Bündel IPs schickt, ist weniger wertvoll als eine, die das Verhaltens-Muster beschreibt — letzteres bleibt länger gültig.
Die Kill Chain für Web-spezifische Angriffe
Auf Web-Anwendungen heruntergebrochen, sieht die Kette häufig so aus:
| Phase | Web-typische Aktivität | Beispiel-Indikator |
|---|---|---|
| Recon | Subdomain-Enumeration, Tech-Stack-Identifikation | DNS-Brute-Force, wafw00f, httpx |
| Initial Access | XSS-Payload, SQLi, kompromittiertes Dependency, exposed Admin-Panel | Unerwartete Param-Inhalte, ungewöhnliche Request-Bodies |
| Execution | Eingeschleustes JS im Browser, Server-Side RCE | Anomale Outbound-Connects vom Web-Worker |
| Persistence | Backdoor-User, manipulierter Webhook, modifiziertes JS-Asset | Neuer Admin-Account ohne MFA-Onboarding |
| Privilege Escalation | IDOR, JWT-Algorithm-Confusion, Mass-Assignment | API-Calls mit fremder Resource-ID |
| Credential Access | Browser-Storage-Auslesen, Session-Hijacking | Anomale Cookie-Werte, Login von neuem ASN |
| Discovery | Schema-Discovery, Robots.txt, exponierte Admin-Routen | Reihen-weise 404 mit System-Pfaden |
| Collection | DB-Dumps, Mass-Export-Endpunkte, Mail-Forward | Plötzliche Riesen-Responses |
| Exfiltration | Daten in 1.000 kleinen JSON-Posts an externen Server | DNS-Tunnel, Beaconing-Muster |
| Impact | Defacement, Ransomware, Daten-Veröffentlichung | Geänderte Startseite, Leak-Site-Post |
Wer einen SIEM aufbaut, sollte diese Tabelle als Detection-Coverage-Karte verwenden: pro Zeile „welche Log-Quelle würde uns das zeigen, und wo ist der Alert?".
Was die Modelle für Verteidigung konkret bedeuten
Drei strategische Ableitungen aus der Kill-Chain-Logik:
- Erkennung früh in der Kette ist günstig. Eine Phishing-Mail abzufangen kostet wenig; eine Ransomware-Wiederherstellung kostet Wochen. Investitionen in Mail-Filter, Awareness, Endpoint-Härtung sind in Cost-per-Vorfall fast immer rentabel.
- Persistenz-Detection ist das Bottleneck. Sobald ein Angreifer Persistenz hat, ist die Asymmetrie zugunsten der Verteidigung weg. EDR-Lösungen, File-Integrity-Monitoring, regelmäßige Account-Reviews zahlen direkt auf diesen Punkt ein.
- Exfiltrations-Erkennung ist die letzte Bremse. Auch wenn alles davor schief gegangen ist: ein funktionierender Egress-Filter oder ein DLP-Alarm auf große Datentransfers kann den Unterschied zwischen Vorfall und Katastrophe machen.
Aus Nutzer-Sicht wirkt dieselbe Logik in klein: Phishing-Erkennung (Recon/Delivery), 2FA und Passkeys (Initial Access/Credential Access), wachsam bei plötzlich aktiven Mail-Filter-Regeln (Persistenz nach Account-Übernahme), Recovery-Plan für den Fall, dass es doch passiert (Impact).
Besonderheiten
Die Kill Chain stammt aus dem Militär
Das Konzept wurde aus militärischen F2T2EA-Phasen (Find, Fix, Track, Target, Engage, Assess) auf Cyber-Angriffe übertragen. Lockheed Martin veröffentlichte den Cyber-Variant 2011 in einem mittlerweile viel zitierten Whitepaper.
ATT&CK ist offen und versioniert
Anders als manche proprietären Frameworks ist MITRE ATT&CK CC-BY 4.0 lizenziert und wird regelmäßig erweitert. Major-Versionen erscheinen halbjährlich; jede Technik trägt eine Revisions-Historie. Releases lassen sich über die Versionen-Seite nachvollziehen.
"Unified Kill Chain" kombiniert beide
Paul Pols hat 2017 die Unified Kill Chain vorgeschlagen — 18 Phasen, die Lockheeds Linearität mit ATT&CKs Granularität verbinden. Im akademischen Umfeld verbreitet, in der Praxis weniger als das ATT&CK-Original.
Pyramid-of-Pain-IDs sind im Bedrohungsfeed nicht gleichwertig
Wer Threat-Intel-Feeds einkauft: Hash-Listen und IP-Listen veralten innerhalb von Stunden. TTP-basierte Erkennung (z. B. Sigma-Regeln, die ATT&CK-Techniken abbilden) bleibt Wochen bis Monate gültig — und ist daher meistens das bessere Investment.
Wie lange Angreifer im Schnitt drinbleiben
Die jährlichen M-Trends-Reports von Mandiant beziffern die Dwell Time — die Zeit von Initial Access bis Detection. Sie ist in den letzten Jahren von Monaten auf wenige Wochen gefallen, vor allem durch verbesserte EDR-Lösungen. In nicht überwachten Umgebungen dauert es dagegen weiterhin oft Quartale.
ATT&CK Navigator als Visualisierungs-Werkzeug
Das offene ATT&CK Navigator-Tool erlaubt es, eigene Detection-Coverage als Heatmap über die Matrix zu legen — und sie mit der Coverage einzelner APT-Gruppen zu vergleichen. Nützlich für Detection-Roadmaps.
Weiterführende Ressourcen
Externe Quellen
- Lockheed Martin – Cyber Kill Chain Whitepaper
- MITRE ATT&CK Framework
- MITRE ATT&CK Navigator
- MITRE D3FEND – Verteidigungs-Pendant zu ATT&CK
- Caltagirone, Pendergast, Betz – Diamond Model of Intrusion Analysis (PDF)
- David Bianco – Pyramid of Pain
- Paul Pols – Unified Kill Chain
- Mandiant M-Trends Report